Mag

Achso, was in dem Beitrag noch fehlte ... mit dem Tool Detect_now (WSUS.DE - Die Infoseite zu den Microsoft Windows Server Update Services) hat man die Möglichkeit "Neuregistrieren" auszuwählen. Damit erneuert man diese ID für den WSUS.

Das hat nicht zufällig etwas damit zu tun, dass die Computereinträge auf dem WSUS vllt schon etwas älter sind und die Computer mittlerweile über ein Standard-Image wieder hergestellt wurden? Für WSUS gibt es auf jedem Computer ähnlich der SID auch eine Identifikationsnummer für jeden Rechner, aber eben nicht die SID, darum hilft auch kein Newsid damit ein über Image ersteller PC im WSUS auftaucht. Die Patches werden jedoch richtig abgeholt und installiert. Das hat bei uns mal Verwirrung gestiftet. Sind deine 2 Problemrechner denn aktuell oder holen diese sich keine Patches?

In kleineren Netzen mit 2 Hubs, hatten wir schonmal ein Problem, dass bestimmte Rechner am Netz, mit "ruckelndem" Mauszeiger reagiert haben. Ich würde mal Testen ob der Rechner2 (der hängt) auch ein Problem hat wenn Rechner 1 aus ist und dann systematisch alle Teile testen.

Hallo zusammen, ich habe ein kleines Problem mit meiner aktuellen Berechtigungslage von dezentralen Admins in meiner Active Directory Domäne. Und zwar sieht der Aufbau so aus, dass viele kleine Unter-OU's an Andere delegiert wurden. Allerdings nicht mit Vollzugriff sondern lediglich standardfunktionen wie bspw. Anlegen von usern, computer, gruppen, OU's. Auf den jeweiligen Unter-OU's sind die 2 Rechte: Richtlinienergebnissatz erstellen (Planung) Richtlinienergebnissatz erstellen (Protokollierung) gesetzt. Der Richtlinienergebnis-Assistent funktioniert. Wenn man allerdings den Modellierungs-Assistent ausführen möchte, kommt die fehlermeldung Zugriff verweigert. Die Technet Seite Gruppenrichtlinien – Handbuch für die Problembehebung (Überblick) konnte ich leider keinen Hinweis auf die nötige Berechtigung für diese Aktion finden. Auch testweise die 2 Rechte zur o.g. Planung und Protokollierung auf die ganze Domäne, sowie einmal einen Vollzugriff auf die Domäne komplett für "Dieses und alle untergeordneten Objekte" führte nicht zum Erfolg. Hätte da noch jemand einen Tip? Danke im voraus :wink2:

Oh vielen Dank ... ich habs net gefunden -.- Dann noch Frohe Restweihnachten und nen Guten Rutsch ins neue Jahr :D

Auch wenn ich nicht mehr zur Lösung beitragen kann, habe ich noch einen Hinweis, wenn Clients sich ihre Updates auf dem WSUS holen, jedoch nicht im WSUS registriert werden, kann das an geclonten Images liegen. Denn der WSUS Server macht das nicht an der SID aus. Ich muss nochmal nachfragen, womit das dann umgehen kann.

Hallo zusammen, Ich hätte eine Frage zum Entfernen eines NT4 PDC in einer AD Domäne. Das der PDC keine Active Directory Daten hat ist klar. Aber er wird ja als "Computer" mit der Funktion "Domänencontroller" im AD geführt. Nun die Frage, welche Wege gibt es den DC dort zu entfernen, wenn man a) den PC nicht mehr verwenden möchte oder b) der PC als Memberserver weiterlaufen soll. Habe leider nur Beiträge zu Win2k oder 2k3 gefunden. Von NT4 spricht man nicht mehr sehr häufig :) Wenn ich das Computerkonto einfach lösche, kommt folgendes Auswahlfenster: "Das Computerkonto, das gelöscht werden soll, stellt die Active Directory-Domäne 'Netbiosname' dar. Wählen Sie eine der Aussagen unten, die den Grund zum Löschen am ehesten beschreibt: - Dieser Domänencontroller soll aus der Domäne herabgetuft werden und als Computer verwendet werden - Active Directory-Replikationen sollen für diesen DC neu gestartet werden - Dieser Domänenctonroller ist permanent offline und kann nicht mehr mit dem Assistenten .. DCPROMO herabgestufen werden" Ganz klar klingt für mich der Punkt 1 wenn ich ihn weiterverwenden möchte, allerdings bleibt in den Eigentenschaften des Computerkontos nach bestätigen, immernoch als Funktion "Domänencontroller". Hat jemand nen schmucken Link, wo man sich darüber schlaulesen kann? Ich muss gestehen, bin erst mit 2k in die Domänenwelt gekommen und weiß nicht wirklich was NT so alles zu bieten hat. Nur soviel, dass es seiner Zeit noch keine dcpromo ähnlichen Befehl gab um die Funktion des DCs zu nehmen oder zu geben.

Hallo, ich tüftele zur Zeit an einem ähnlichen Gesamtproblem. Das mit der Fehlermeldung ungültiger Kontobla hatte ich eben kurz, da war noch ein veraltestes Computerkonto in der Domäne wozu es keinen REchner mehr gab. Nachdem Löschen des Kontos war das Problem beseitigt. Ich hakel zur Zeit auch ein einem Disablestrictnamechecking problem rum. Auf meinen WinXP Client kannjeder zugreifen, das gleiche auf nem Win2k3 Server klappt von Win2k Clients nicht richtig.

Au danke für die Info, dann muss ich mal suchen an was das wohl liegen könnt. An meiner Syntax liegt es doch auch nicht oder? Man muss ja shcon die Subdomäne mit angeben. Hast du es als Forestadmin oder Subdomänenadmin getestet? Vielen Dank schonmal.

Wir setzen DotHill ein, ist ein SAN aber ohne viel Softwarespielereien wie EMC, dadurch auch "günstiger" :)

Ahoi, also zum Patchkonzept. Wir haben dass so gelöst, dass wir WSUS nutzen und für die Server nur Sicherheitskritische Patches freischalten. Zusätzlich haben wir für die IT Abteilung hier alle Patches direkt und für den Rest um einige Tage verzögert im Einsatz. D.h. wir "Testen" es beim Arbeiten und können dann größeren Problemen vorbeugen. Wir haben ca. 300 Netzkomponenten im Einsatz + ca. 150 APs ca. 10DCs + welche die wir nicht direkt betreuen 3 ESX Server 15-20 Server wie Mail, Logserver, Netzmanagement, Datenserver, DNS, Proxy, Exchange, Postfix ... 2 Virenappliance 2 DNS Appliance (gehn erst produktiv) Wir sind bei uns im Team 4 Leute + 1 Azubi Dann haben wir noch das Technik Team (8-9Mann oder Frau ;) ), welches sich um etwa 8000 PC's, Monitore bzw. Drucker kümmert. Das Team rund um SAN, BackUp, ESX, Citrix, Druckerspool und ca.12 SAP Server sind wieder 4 Mann.

Also mit Subdomänen würde ich nicht anfangen. Je nach Verbindung der Zweigstellen untereinander kannste dann mit einer Domäne auch noch eine Notausfallsicherheit herstellen. Wenns nur um die Anmeldung und Authentifizierung über ne WAN Strecke geht, wäre das ja nicht so schlimm und durch mehrere Standorte kann man die Replizierung untereinander auch begrenzen. Dann müssen in jeder Zweigstelle auch nicht 2 DCs stehn. Bei so wenig Benutzern geht das umziehen noch. Wir sind schon seit Jahren an hin und her migrieren *gg*

Hallo zusammen :) Ich hätte Bedarf gehabt, den Standard Ordner für "Computers" umzustellen, da er keine OU ist und ich gerne eine GPO für diesen Ordner erstellt hätte. Nun hab ich mal gehört, dass dies möglich ist und bin auf die redircmp.exe gestoßen. Voraussetzung ist nur dass die Domäne auf dem Funktionslevel 2003 steht. In der Anleitung unter dem KB 324949 (Redirecting the users and computers containers in Windows Server 2003 domains) steht nichts davon ob der Forestlevel auch eine Rolle spielt, denn ich hab hier leider noch nen Forest auf Windows 2000 gemischt und nur die Subdomain auf Windows 2003. Wenn ich nun den Befehl ausfürhre: redircmp ou=neue_computer,DC=subdomain,DC=firma,dc=de erscheint die Fehlermeldung: Fehler. Das wellKnownObjects-Attribut konnte nicht geändert werden. Überprüfen Sie, ob die Domänenfunktionsebene der Domäne mindestens Windows Server 2003 ist: Ausgelastet Umleitung NICHT erfolgreich. Nun hätte ich gesagt die Fehlermeldung ist schlüssig, allerdings stört mich die eine Zeile "Ausgelastet". Deshalb wollt ich mal nachfragen, ob das schonmal jemand gemacht hat? Der DC funktioniert und ich habs auch schon auf einem Zweiten probiert bzw. den Ersten durchgestartet. Vielleichtist es auch nur ein dummer Überetzungsfehler. Merci im voraus. Grüße Mag

Hallo zusammen, wir haben eine MCAfee Appliance die bisher Mailinhalte und FTP Sachen scannten. Ja genau @ GuentherH Wir wollten die teue angeschaffte Antivirenhardware gern auch für die interne Exchangepostverwenden und nicht nochmals eine teure Softwarelösung anschaffen :) Auch um den Server noch zu entlasten. Wir hatten das schon diskutiert, im Prinzip kann der Exchange ja dann nicht unterscheiden welche Email er annehmen darf und welche er einmal über die Appliance schickt. Da würde dann wohl ein Kreislauf entstehen und keine Email würde mehr ankommen. Dachte dass es vllt ne Möglichkeit in der Richtung gäbe, dass der Exchange die Mails einmal weiterleitet und nur von der Appliance Adresse empfange Emails behält und verteilt. Das hat sich dann wohl erledigt :/ Danke für den Hinweis.

Hallo zusammen, mein Wunsch klingt auf Anhieb vllt seltsam, aber ich möchte es hier kurz erklären. Wir möchten die Antivirenlösung nicht in Softwareform lösen, sondern besitzen bereits eine Appliance, die diesen Job übernimmt. Bei der bisherigen Sendmaillösung war das nicht schwer umzusetzen. Nun möchte ich aber, dass allen Clients an den Exchange übermittelten Emails auch für die lokalen Konten, an eine andere Adresse (die der Antiviren-Appliance) weitergeleitet, dort geprüft und dann wieder zurückgeschickten werden. Nun bin ich auf der Suche nach dem Punkt an dem ich diese Einstellung vornehmen kann. Kann ich unter dem System-Manager - Administrative Gruppe - Connectors - Allgemein - Lokale Bridgehead einfach den virtuellen STandardserver für SMTP entfernen um dies zu erreichen? Mein Exchange ist leider produktiv, sonst hätte ich einfach mal was rumgefummelt :) Wenn jemand sowas schonmal gemacht hat oder Gründe kennt die dagegen sprechen wäre ich fürn Tipp dankbar. Grüße Mag

Eine Exchangeserver Lizenz + ACLs für 5 User .... das rechnet sich nun wirklich nicht. Warum mit Kanonen auf Spatzen schießen? Wenn ich meinen Ahänger irgendwo dranhängen MUSS, was soll ich dann mit einem Ferrari?

Hallo zusammen. Nach einem Plattencrash und Wiedernutzung eines Namen für den DC, wird das Eventlog regelmäßig mit Einträgen: Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen cifs/DC2 vorhanden. gefüllt. Der MS Artikel M321044 und Eventid.net führen die Suchmethode nach dem Fehler unter Verwendung von LDP ziemlich detailert auf. Allerdings finde ich bei mir keine Einträge. Ich suche nach serviceprincipalname=cifs/DC2 in der ganzen Domain DC=firmenname,DC=de. Was bedeutet denn das cifs? Steht das für Common Internet File Service? Wenn ja, was stellt dass denn in dem Falle dar, vllt wird es dann klarer für mich nach was ich ausschau halten muss. Wäre für nen kleinen Tip sehr dankbar.

Hallo, der Windows Support Artikel hilft mir in meinem Fall nicht weiter. Ich finde mit LDP keine Einträge. Meine Meldung lautet ebenfalls so "Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen cifs/DC2 vorhanden" Vorfall war, dass ein Domaincontoller gestorben ist (Plattendefekt) wir aber den alten Namen wieder etablieren wollten. Ich habe in LDP die Suchabfrage so aufgebaut: Base DN: DC=firma,DC=de serviceprincipalname=cifs/DC2 Ist daran was falsch?

Die Server sind alle in der Legatosicherung, außerdem ist das Wetter viel zu schlecht um zeitig nach Hause zu wollen *g* Und die Reparatur hat geklappt. Neuer Key wurde übernommen, unter den Systemeigenschaften bei "Registriert für" steht nicht mehr OEM in dieser ID, R2 ist installiert. Danke für die Hilfe.

Okay, dann dank ich dir schonmal für die rasanten Antworten. Die Reparaturinstallation läuft, mal sehen was daraus wird.

Das klingt nicht gut ;) Also scheidet ihrer Meinung nach auch die Reparaturfunktion aus, wenn ich das richtig verstehe? Dann lasse ich erstmal wieder prüfen ob diese R2 Erweiterung wirklich gebraucht wird.

Hallo zusammen, wie ich heute morgen beim Lesen der vielen Beiträge hier gemerkt habe, ist die Lizensierung alles andere als trivial. Also wir haben unsere Produkte aus dem Select Programm. Auf einem unserer Server wurde Windows Server 2003 wohl von der mitgelieferten OEM CD (Dell) installiert. Die verlangt soweit ich weiß garkeinen Key bei der Installation. Das fiel bis vor kurzem auch nicht auf, als dort die R2 Erweiterung installiert werden sollte. Via MS Select wurde die entsprechende Lizenz erworben, doch bei der Installation meldet er Probleme mit dem Lizenzschlüssel. Man kann die R2 Erweiterung nun nicht auf das OEM Windows 2003 Server SE installieren. Den Tip von Substyle über die erneute Aktivierung mit Eingabe eines neuen Schlüssels klappt da auch nicht; meldet ebenso einen falschen Key. Nun meine Frage, gibts es einen Weg die Neuinstallation so weit wie möglich zu umgehn, da der Server produktiv eingesetzt wird. Sysprep und Reparaturinstallation schweben mir noch vor, allerdings eher als letzteres, falls ihr keinen anderen Tipp parat hättet. Grüße

Die Nodes stehen ja nicht immer direkt nebeneinander. Wofür ein hochverfügbares Cluster, wenn die Rechner an der selben 3-fach Steckdose hängen :D Aber ich könnte mir vorstellen, dass bei Problemen mit der Netzwerkkarte die Crossoververbindung auch gleich das andere Node belästigt, ein Switch wird irgendwann den Port abschießen. Eine direkte Verbindung kann auch problematisch werden, wenn darüber unterschiedliche Potenziale ausgeglichen werden.

Guten Morgen, ich hätte da noch ein paar kleine Fragen: 1. Kennt jemand vielleicht noch eine gute Lektüre zu dem Thema außer den TechNet Artikeln? Mit dem kleinen Button Cluster unter Verwaltung und hopp und los ist es wohl lange nicht getan :) 2. Auch an einem Testbetrieb kommt man denk ich nicht vorbei, dabei stößt man dann auch auf alle grundlegenden Dinge die man brauch und beachten muss. Nun die Frage, kann ich das Problemlos in der Liveumgebung testen? Es werden ja noch DNS Einträge und allerlei im Gesamtbild hinterlassen, kann man da nachher irgendwie auf Leichen stoßen?

Okay danke, das werde ich mal tun.